ページの先頭行へ戻る
Interstage Application Server シングル・サインオン運用ガイド
Interstage
第7章 認証サーバ間連携 > 7.2 導入 > 7.2.2 導入手順
前次

7.2.2 導入手順

  以下に、Interstage シングル・サインオンシステムに認証サーバ間連携を導入する手順を説明します。
  Interstage シングル・サインオンシステムAを自シングル・サインオンシステムとし、Interstage シングル・サインオンシステムBを相手シングル・サインオンシステムとして連携を行う場合を例に示します。

  認証サーバにて以下の作業を行ってください。

【認証サーバを1台配置するシステムの場合】
1.認証サー間連携の運用許可

認証サーバがV9.0以前の旧バージョンから移行した環境の場合、認証サーバで認証サーバ間連携の運用を行うための設定を行います。
認証サーバ、およびリポジトリサーバ(更新系)をV9.1以降のバージョンで新規に構築した環境の場合は、この作業は不要です。
  

2.自シングル・サインオンシステムのデジタル署名用証明書の登録(注)

7.2.1.2 相手シングル・サインオンシステムと連携するための準備”で取得した、自シングル・サインオンシステムでデジタル署名に使用する証明書をInterstage証明書環境に登録します。認証局証明書が登録されていない場合は、認証局証明書を先に登録してください。なお、サイト証明書が署名用に使用できる場合は、この作業は不要です。


  デジタル署名用証明書                C:\SystemA_Cert.cer
  デジタル署名用証明書のニックネーム  SYSA_CERT

  デジタル署名用証明書を“C:\SystemA_Cert.cer”にした場合の例です。必要に応じて各証明書のファイルパス名を変更してください。
  パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。

C:\> scsenter -n SYSA_CERT -f C:\SystemA_Cert.cer -o
Password:
証明書がキーストアに追加されました。
SCS: 情報: scs0104: 証明書を登録しました。
C:\>


  デジタル署名用証明書                /tmp/SystemA_Cert.cer
  デジタル署名用証明書のニックネーム  SYSA_CERT

  デジタル署名用証明書を“/tmp/SystemA_Cert.cer”にした場合の例です。必要に応じて各証明書のファイルパス名を変更してください。
  証明書を登録する前に環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。
  以下はBourneシェルを使用した実行例です。パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。

# JAVA_HOME=/opt/FJSVawjbk/jdk5;export JAVA_HOME
# scsenter -n SYSA_CERT -f /tmp/SystemA_Cert.cer -o
Password:
証明書がキーストアに追加されました。
UX: SCS: 情報: scs0104: 証明書を登録しました。
#

3.認証サー間連ービスの配備

ssodeployコマンドを使用して、サーブレットアプリケーションとしてServletコンテナへ配備します。
  

4.Webブラウザに表示するメッセージのカスタマイズ

運用時に表示されるWebブラウザのメッセージを必要に応じてカスタマイズします。
  

5.相手シングル・サインオンシステムのデジタル署名検証用証明書の登録(注)

7.2.1.2 相手シングル・サインオンシステムと連携するための準備”で交換した、相手シングル・サインオンシステムでデジタル署名に使用する証明書をInterstage証明書環境に登録します。認証局証明書が登録されていない場合は、認証局証明書を先に登録してください。


デジタル署名検証用証明書                C:\SystemB_Cert.cer
デジタル署名検証用証明書のニックネーム  SYSB_CERT

  デジタル署名検証用証明書を“C:\SystemB_Cert.cer”にした場合の例です。必要に応じて各証明書のファイルパス名を変更してください。
  パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。

C:\> scsenter -n SYSB_CERT -f C:\SystemB_Cert.cer -e
Password:
証明書がキーストアに追加されました。
SCS: 情報: scs0104: 証明書を登録しました。
C:\>


デジタル署名用証明書                /tmp/SystemB_Cert.cer
デジタル署名用証明書のニックネーム  SYSB_CERT

  デジタル署名用証明書を“/tmp/SystemB_Cert.cer”にした場合の例です。必要に応じて各証明書のファイルパス名を変更してください。
  以下はBourneシェルを使用した実行例です。パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。

# scsenter -n SYSB_CERT -f /tmp/SystemB_Cert.cer -e
Password:
証明書がキーストアに追加されました。
UX: SCS: 情報: scs0104: 証明書を登録しました。
#

6.ユーザ情報のカスタマイズ

ユーザ情報を変換するルールを記述したユーザ情報カスタマイズ定義ファイルを作成し、運用に合わせてユーザ情報を変換します。
  

7.認証サーバ間の設定

Interstage管理コンソールを使用して、認証サーバ間連携を行うための設定を行います。
  

8.認証サーバの

Interstage管理コンソールを使用して、認証サーバを停止します。
  

9.認証サーバ間連携サービスの起動

Interstage管理コンソールを使用して、認証サーバ間連携サービスを起動します。
  

10.認証サーバ起動

Interstage管理コンソールを使用して、認証サーバを起動します。

  注)scsenterコマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“SSL環境設定コマンド”を参照してください。

【認証サーバを複数台配置して負荷分散を行うシステムの場合】
1.認証サーバ間連携サービスの環境構築

任意の1台の認証サーバで、【認証サーバを1台配置するシステムの場合】の手順1から7までを実施します。
  

2.移出マシンの資源の取り出し

手順1で環境を構築した認証サーバ(移出マシン)から、認証サーバ間連携サービスの環境を取り出します。

  1. 移出マシンでssobackupコマンドを-acオプションで実行し、認証サーバ資源を資源格納ファイルに取り出します。(注1)

  2. カスタマイズモジュールの動作に必要なファイルが存在する場合は、それらのファイルを取り出してください。

  3. Interstage証明書環境、およびIJServerの資源を移出してください。(注1)

  4. 手順1から3で取り出した資源を、移入マシンに転送します。
    転送する場合には、第三者に盗聴などされないように注意してください。なお、転送の際、手順1で取り出した資源格納ファイルの権限は変更しないでください。
      

3.移入マシンへの資源の移入

手順1で環境を構築した認証サーバを除く、負荷分散している残りのすべての認証サーバ(移入マシン)に、手順2で取り出した認証サーバ間連携サービスの環境を移入します。

  1. 移入マシンで、ssorestoreコマンドを実行し、認証サーバ資源を移入します。(注1)

  2. カスタマイズモジュールの動作に必要なファイルが存在する場合は、移出マシンから取り出したそれらのファイルを格納してください。

  3. 移出マシンから取り出したInterstage証明書環境資源、およびIJServerの資源を移入してください。(注1)
    認証サーバでSSL通信を行い、かつ負荷分散マシンで同一の証明書の使用が許可されていない場合は、負荷分散のために認証サーバを追加した際に登録したサイト証明書を、再度Interstage証明書環境へ登録してください。(注2)

  4. 移出マシンから取り出した資源格納ファイルを削除してください。
      

4.ロードバランサの設定

クライアントと認証サーバ間連携サービスとのセションの一意性を保証する必要があります。認証サーバ間連携サービスを起動する前に、ロードバランサの設定を行ってください。
  

5.認証サーバの停止

Interstage管理コンソールを使用して、すべての認証サーバを停止します。
  

6.認証サーバ間連携サービスの起動

Interstage管理コンソールを使用して、すべての認証サーバにおいて認証サーバ間連携サービスを起動します。
  

7.認証サーバの起動

Interstage管理コンソールを使用して、すべての認証サーバを起動します。

  1)資源の移出、および移入については、“運用ガイド(基本編)”の“メンテナンス(資源のバックアップ/他サーバへの資源移行/ホスト情報の変更)”-“他サーバへの資源移行”を参照してください。

  2)負荷分散のための認証サーバの追加については、“2.4.3 負荷分散のため認証サーバを追加する”を参照してください。

注)セションの管理を行わないInterstage シングル・サインオンシステムと連携する場合の注意については、“使用上の注意”の“注意事項”-“Interstage シングル・サインオンの注意事項”-“認証サーバ間連携に関する注意事項”を参照してください。

7.2.2.1 認証サーバ間連携の運用許可

  認証サーバがV9.0以前の旧バージョンから移行した環境の場合、環境設定の移入コマンド(ssoimpac)を使用して、認証サーバで認証サーバ間連携の運用を行うための設定を行います。
  認証サーバ、およびリポジトリサーバ(更新系)をV9.1以降のバージョンで新規に構築した環境の場合は、この作業は不要です。

  ssoimpacコマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“シングル・サインオン運用コマンド”を参照してください。

  設定手順は、システム構成によって以下のように異なります。

リポジトリサーバ(更新系)のバージョンがV9.1以降の場合

  1. リポジトリサーバ(更新系)を構築したマシンのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤構築ファイル]タブを選択し、認証基盤構築ファイルをダウンロードしてください。

  2. ダウンロードした認証基盤構築ファイルを認証サーバに転送後、削除してください。

  3. 転送した認証基盤構築ファイルを指定してssoimpacコマンドを実行してください。-afsオプションは指定しないでください。

  4. 認証基盤構築ファイルを削除してください。

リポジトリサーバ(更新系)のバージョンがV9.0以前で、かつセション管理の運用を行っていない場合

  1. リポジトリサーバ(更新系)を構築したマシンのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証基盤構築ファイル]タブを選択し、認証基盤構築ファイルをダウンロードしてください。

  2. ダウンロードした認証基盤構築ファイルを認証サーバに転送後、削除してください。

  3. 転送した認証基盤構築ファイル、および-afsオプションを指定してssoimpacコマンドを実行してください。

  4. 認証基盤構築ファイルを削除してください。

リポジトリサーバ(更新系)のバージョンがV9.0以前で、かつセション管理の運用を行ってい場合

  1. リポジトリサーバ(更新系)を旧バージョンからV9.1に移行してください。

  2. リポジトリサーバ(更新系)のバージョンがV9.1以降の場合の手順を行ってください。

7.2.2.2 認証サーバ間連携サービスの配備

  認証サーバ間連携サービスは、サーブレットアプリケーションとしてServletコンテナへ配備します。配備は、ssodeployコマンドを使用して行います。

  以下の手順でサーブレットアプリケーションを配備してください。

  1. 認証サーバにてssodeployコマンドを実行します。

  2. 認証サーバ間連携サービスを配備するかどうかの確認メッセージが表示されますので、“yes”を入力してください。

  ssodeployコマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“シングル・サインオン運用コマンド”を参照してください。


  -nオプションで指定するIJServer名を省略し、認証サーバ間連携サービスを配備する例です。IJServer名を省略した場合、SSO_FEDERATIONでIJServerを作成します。
  ssodeployコマンドを実行すると、認証サーバ間連携サービスを配備するかどうかの確認メッセージが表示されますので“yes”を入力してください。

C:\>ssodeploy federation
[Deployment information]
  IJServer name                     : SSO_FEDERATION
  Application name                  : ssofsv
Are you sure you want to deploy the Federation Service? (yes/no)yes

isj2eeadmin ijserver -a -f "C:\Interstage\F3FMsso\ssofsv\webapps\ssofsv\WEB-INF\ijserver.xml"
isj2eeadmin: 情報: isj2ee2100:IJServerを登録しました NAME=SSO_FEDERATION

ijsdeployment -n SSO_FEDERATION -d "C:\Interstage\F3FMsso\ssofsv\webapps\ssofsv"
DEPLOY: 情報: DEP5050: 配備処理が完了しました: ファイル名=C:\Interstage\F3FMsso\ssofsv\webapps\ssofsv


  ssodeployコマンドを実行する前に環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。

#JAVA_HOME=/opt/FJSVawjbk/jdk5;export JAVA_HOME
#/opt/FJSVssoac/bin/ssodeploy federation
[Deployment information]
  IJServer name                     : SSO_FEDERATION
  Application name                  : ssofsv
Are you sure you want to deploy the Federation Service? (yes/no)yes

isj2eeadmin ijserver -a -f /etc/opt/FJSVssofs/webapps/ssofsv/WEB-INF/ijserver.xml
UX:isj2eeadmin: 情報: isj2ee2100:IJServerを登録しました NAME=SSO_FEDERATION

ijsdeployment -n SSO_FEDERATION -d /etc/opt/FJSVssofs/webapps/ssofsv
UX:DEPLOY: 情報: DEP5050: 配備処理が完了しました: ファイル名=/etc/opt/FJSVssofs/webapps/ssofsv

7.2.2.3 認証サーバ間連携の設定

  認証サーバを構築するマシンのInterstage管理コンソールを使用して、以下の手順で行います。Interstage管理コンソールで定義する項目の詳細についてはInterstage管理コンソールのヘルプを参照してください。

  1. [システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブを選択してください。

  2. [認証サーバ間連携サービス詳細設定[表示]]をクリックし、[認証サーバ間連携の設定]で[連携する]を選択してください。

  3. [自シングル・サインオンシステムの情報]、および[相手シングル・サインオンシステムの情報]の各項目を運用に合わせて設定してください。
    相手シングル・サインオンシステム利用者が自シングル・サインオンシステムを利用できない運用の場合は、[相手シングル・サインオンシステムの情報]の[相手システム利用者による自システムの利用]で[許可する]のチェックをはずしてください。利用できるInterstage シングル・サインオンシステムを限定して連携することができます。
    また、すべてのユーザ情報を変換せずに送受信する場合は、[相手シングル・サインオンシステムの情報]の[相手システムと送受信するユーザ情報]で[変換する]のチェックをはずしてください。

  4. [認証サーバ間連携ログ]の各項目を設定してください。

  5. [適用]ボタンをクリックしてください。


  認証サーバの負荷分散を行っている場合は、クライアントと認証サーバ間連携サービスとのセションの一意性を保証する必要があります。認証サーバ間連携サービスを起動する前に、ロードバランサの設定を行ってください。
  ロードバランサの設定については、システム構成にあわせて“付録E ロードバランサの設定”を参照してください。

前次
Copyright 2011-2012 FUJITSU LIMITED